internet-security

Ironisant malicieusement en faisant dire à Putin : “Crackez-moi le réseau Tor et je ferai de vous un millionnaire !“, “The Register” rapporte sur Kevin Rothrock que près de 4 millions de roubles (82 000 euros) seront offerts à celui qui offrira une faille du réseau Tor au ministère de l’Intérieur russe. Cette faille devant permettre audit ministère de contourner la sécurité des utilisateurs du Réseau Tor via une brèche dans le dispositif garantissant l’anonymat.

putin-tor

Pourquoi commencer par cette anecdote ? Sûrement pour signaler, en Tunisie, à quel point le rédacteur du projet de loi relatif à la répression des infractions sur les réseaux informatiques se trouve à des années-lumière de la culture informatique.

Il convient d’abord de préciser que le projet diffusé sur l’internet ne contient, en son sein, aucune mention de sa source ni de ses auteurs. Selon le site THD, ce projet a été élaboré à l’initiative de l’ancien ministre des T.I.C. Mongi Marzoug.

Selon l’article 17 de ce projet, même la simple détention d’outils de hack informatique deviendrait en Tunisie passible de deux années de prison et de 20 mille dinars d’amende.

الفصل 17: يعاقب بالسجن مّدة عامين وبخطية قدرها عشرون ألف دينار كل من يتعّمد إنتاج أو بيع أو توريد أو توزيع أو توفير أو عرض أو الحصول بغرض الاستعمال أو حيازة ما يلي: – جهاز أو برنامج معلوماتي صّمم أو طّوع لارتكاب الجارئم المنصوص عليها بهذا القانون، – كلمة عبور أو رمز نفاذ أو أي بيانات معلوماتية مماثلة تمّكن من النفاذ إلى كامل نظام معلومات أو جزء منه بغرض ارتكاب الج ارئم المنصوص عليها بهذا القانون. والمحاولة موجبة للعقاب.

Les outils des audits de sécurité, le téléchargement et le partage de code permettant de mettre à l’épreuve la sécurité des réseaux informatiques deviennent ainsi interdits !

La bêtise, voire l’ânerie, de l’article 17 du projet en question confond littéralement la détention des outils informatiques avec la perpétration des infractions. En somme, il ne manquait plus à cet article 17 que de confondre la détention des couteaux ou des voitures avec les crimes dont ils sont susceptibles d’en être les instruments, pour les interdire. Un petit effort supplémentaire et l’auteur du projet aurait peut-être proposé “d’interdire les ordinateurs qui permettent d’exécuter les programmes, qui permettent de commettre des infractions !“.

Et l’ignorance de l’auteur de ce projet de loi est telle qu’il ne semble pas avoir idée de ce qu’est le parcours d’un expert en sécurité informatique, ni même de ce qu’est l’apprentissage de l’informatique tout court !

De même, il semble ignorer qu’un grand pan de la sécurité de l’Internet repose sur des attaques quotidiennes lesquelles attaques sont destinées à renforcer la sécurité des réseaux. Ces “assaillants des réseaux” sont même payés très cher pour faire “joujou” avec les réseaux. Des prix prestigieux sont organisés récompensant leurs exploits. L’ânerie de l’article 17, c’est, entre autres, la confusion qu’il fait entres les criminels et les “boutonneux” -qui se servent du code des autres- pour faire parfois des ravages au sein de certains serveurs non suffisamment sécurisés. Et cette ânerie est d’autant plus flagrante que l’interdiction faite aux Tunisiens de détenir et de manipuler des outils pouvant servir à des attaques informatiques ne préserve en rien des attaques de l’extérieur de la Tunisie.

Et comme cela fut signalé dans ce statut Facebook de Nawaat, à l’issue de la promulgation de cette loi “on devra fermer nos centres de recherche en informatique, retirer tous les outils d’audit de sécurité et bannir le travail de ces personnes formidables, mettant à l’épreuve les réseaux informatiques afin d’en améliorer la sécurité“. Pour sécuriser notre infrastructure informatique, on fera désormais appel aux Chinois, aux Indiens, aux Ukrainiens ou aux Russes ! Il est vrai qu’à Nawaat, nous sommes assaillis quotidiennement par des attaques en provenance de ces pays.

Au-delà de la caricature de «l’hommage du vice à la vertu» du cas de l’État russe mentionné plus haut, il serait utile d’inviter les auteurs de ce projet de loi tunisien de commencer par s’initier à la culture informatique et à celle de l’Internet. Ceci avant toute tentative de formuler une expertise inepte au sein de textes juridiques. Il en va du sérieux de leur travail.

Pour les convaincre de cette ineptie, il leur suffit de parcourir ces liens :

Google announces whopping $2.71 million reward for hacking Chrome OS!

Google Offers $3.14159 Million In Total Rewards For Chrome OS Hacking Contest.

Microsoft Finally Offers To Pay Hackers For Security Bugs With $100,000 Bounty

Microsoft rewards hacker who is a well-known British hacking expert more than $100,000 for discovering security holes in its software.

RedHat security program.

Enfin, il est judicieux également de mentionner comment Twitter encourage et donne des indications pour que la sécurité de ses services soit mise à l’épreuve :

[…] Si vous recherchez des failles dans notre logiciel -pécise le site de Twitter-, utilisez un compte dont les Tweets sont protégés pour vos tests. Nous pourrons ainsi corriger les problèmes que vous découvrez avant qu’ils ne prennent de l’ampleur.Le site de Twitter

“[…] Garantir la sécurité en ligne est un effort commun -insiste Twitter- et nous avons la chance d’avoir à nos côtés une communauté très active de chercheurs bénévoles en sécurité sur Internet pour nous aider à trouver d’éventuelles failles dans nos logiciels. Nous les remercions pour leurs efforts et le rôle clé qu’ils jouent dans la lutte contre la cybercriminalité.” Twitter.com

Morale de l’histoire : Ce projet de loi est un parfait exemple, entre autres, de ces improvisations si ignorantes, lesquelles -et en l’espèce- enchaînent au sous-développement technologique !.

PS : Pour le reste du contenu de ce projet, nous aurons l’occasion de revenir sur d’autres dispositions aussi ineptes…